En réponse à franck <[EMAIL PROTECTED]>:
> Hello Hervé,
Salut,
> je suis pas l'auteur de la question initiale mais je suis concerné
> donc ...
OK
[snip]
> HL> La table de routage ressemble a la chose suivante
>
> HL>Destination Passerelle Genmask Indic MSS Fenêtre
> irtt Iface
> HL> 192.168.0.0 0.0.0.0 255.255.0.0 U 0 0
> 0 eth1
> HL> 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0
> 0 lo
> HL> 0.0.0.0 IP_ROUTEUR 0.0.0.0 UG 0 0
> 0 eth0
> est-ce possible d'avoir qq precisions sue cette table !!
Cette table a la signification suivante:
Ligne 1
"Tout [les paquets IP] ce qui est a destination d'une adresse 192.168.x.x sera
envoyé directement à la carte réseau eth1."
Ligne 2
"Tout ce qui est 127.x.x.x correspond à la loopback (boucle locale IP,
obligatoire)"
Ligne 3
"Tout le reste sera envoyé a la carte reseau eth0, avec comme passerelle
IP_ROUTEUR".
Les routes s'ajoutent/suppriment avec les commandes "route add" et "route del"
man route pour plus d'info sur la commande
Le contenu de la table de routage s'obtient avec la commande "route" ou "netstat
-nr"
> HL> Ensuite, avec IPCHAINS, on interdit tout ce qui est en provenance de
> 192.168.x.x
> HL> et à destination d'autre chose que la passerelle.
> ds quel but ? quel autre type de cnx peut-il y avoir
Parce que sinon, n'importe qui sur le reseau 192.168.x.x peut se connecter
n'importe où [sur l'internet] sans passer par le proxy. Les paquets seront
forwardés de facon "transparente" (comme on dit dans le jargon) par la
passerelle. La connextion se comportera de la même manière que si toutes les
machines du réseau 192.168.x.x étaient connectées directement sur la liaison
internet (à la différence notable que si elles peuvent se connecter sur
n'importe quel serveur sur l'Internet, le contraire n'est pas vrai, personne de
l'extérieur ne peut se connecter dessus puisque leur IP est masquée).
>
> HL> Voilà, comme ca ca devrait le faire :
>
> HL> - Personne ne peut sortir sans passer par le proxy SQUID
> HL> - SQUID peut logger l'activité
>
> HL> Attenton néanmoins, tout interdire avec IPCHAINS est un peu brutal,
> si les
> HL> postes doivent pouvoir aller consuler leur email sur un serveur
> externe, il
> HL> faudra ouvrir le port 110 (POP), de même il faudra aussi
> probablement ouvrir les
> HL> ports DNS.
> et alors la on fait comment
Avec IPCHAINS tout simplement.
Le script d'initialisation ipchains d'une telle passerelle ressemblerait a ceci
:
NOTE : Je fais ca de mémoire, sans vérifier la syntaxe ni relire. Verifier avec
man ipchains, masquerading-HOWTO , etc ...
#reset des regles input :
ipchains -R input
#on commence par se mefier de l'IP_SPOOFING (avec trace dans le log) :
ipchains -A input -s 192.168.0.0/16 -i eth0 -l DENY
#on accepte tout ce qui vient du reseau local a destination de la
#passerelle, sur le port du proxy uniquement
ipchains -A input -s 192.168.0.0/16 -p tcp -d IP_PASSERELLE 1080 ACCEPT
#on accepte en masquerade ce qui vient du reseau local, a destination du net
#uniquement pour lire son courrier :
ipchains -A input -s 192.168.0.0/16 -p tcp -d all 110 MASQ
#on accepte en masquerade l'acces au DNS
ipchains -A input -s 192.168.0.0/16 -p tcp -d IP_DNS 42 MASQ
ipchains -A input -s 192.168.0.0/16 -p tcp -d IP_DNS 53 MASQ
ipchains -A input -s 192.168.0.0/16 -p udp -d IP_DNS 53 MASQ
#tout le reste en provenance du reseau local est rejeté, avec trace
#dans /var/log/messages :
ipchains -A input -s 192.168.0.0/16 DENY -l
#Ce qui vient du net, a destination de la passerelle est accepté :
ipchains -A input -s all -d IP_eth0 ACCEPT
ipchains -A input -s all -d IP_eth1 ACCEPT
#Le reste, on le refuse avec trance dans le log
ipchains -A input -s all -d all -l DENY
--
H.Lefebvre [EMAIL PROTECTED]
LINUX : Ne jetez plus votre argent par les fenêtres !
